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Der Mythos “Wir sind sicher” 


Wir haben 
Firewalls 



Wir haben SSL 
Verschliisselung 




Wir lassen jedes J ahr ein 
Audit durchfiihren 



Wir haben Netzwerk- 
Scanner 
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Die Realitat 


“Hacker haben personliche Informationen von 26.000 Mitarbeitern gestohlen.” 
ComputerWorld, June 22, 2006 

“Zwischen Juli 2005 und Juni 2006 wurde festgestellt, dass 69 % aller Web 
Applikationen angreifbar sind.” 

Gartner 

“64 % aller Entwickler sind nicht sicher, ob sie die Fahigkeit haben, sichere 
Applikationen zu schreiben.” 

Microsoft Developer Research 

“70 % aller Unternehmen wenden heute keine Sicherheitstechniken in der 
Softwareentwicklung an.” 

Aberdeen Group, May 2007 
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Kosten fehlender Security 


Hackers breach LexisNexis, grab info on 32,000 people 

By Paul Roberts 

IDG News Service, 03/09/05 

Hackers have compromised databases belonging to LexisNexis and stolen information on at least 32,000 people, according to 
a statement Wednesday from LexisNexis' parent company, Reed Elsevier PLC. 

The hackers stole passwords, names, addresses. Social Security and drivers license numbers of legitimate customers of the 
company's Seisint division. Seisint collects data on individuals that is used by law enforcement and private companies for debt 
recovery, fraud detection and other services. 

LexisNexis identified the incidents in a review of security procedures and warned that there may be more incidents of data 
theft, Reed Elsevier said. The incident is eerily familiar to recent revelations about similar compromises at Seisint competitor 
ChoicePoint, which acknowledged in February that hackers had access to data on 145,000 people. 

Reed Elsevier did not immediately respond to requests for comment. 

LexisNexis, which acquired Seisint of Boca Raton, Fla., in September for $775 million, expressed regret for the incident and 
said it is notifying the individuals whose information may have been accessed and will provide them with credit monitoring 
services. 


The US. Secret Service is actively involved in an investigation of the incident, but declined to give any details about the case 
through spokesman Jonathan Cherry. 
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Mediale Aufmerksamkeit 
Beschadigung der Marke 
Stark sinkende Aktienkurse 
Hohe Kommunikationskosten 
Gesetzliche Strafen 
Verstarkte Audits 
Klagewelle von Kunden 
Verlust von Kunden. 
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Ausgabenverteilung fur Security 




% derAttacken 


% derAusgaben 



Web 
Applications 


Network 

Server 



C ^ aller Attacken auf I nformationssicherheit 
finden im Web Application Layer statt 


aller Web Applicationen sind gefahrdet. 


Gartner 
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Web Application Security mit Rational AppScan 


Sources: Gartner, Watchfire 










Einordnung der .Application Security 11 



Database 

Scanners 


(IDS=lntrusion Detection System, IPS=lntrusion Prevention System) 
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Warum ist “Application Security” so wichtig? 


Web Applikationen stehen an erster Stelle der Hacker Attacken 

► 75% aller Attacken betreffen die Applikationsschicht (Gartner) 

► “XSS” und “SQL Injection” stehen an erster und zweiter Stelle der Attacken 

Die meisten Sites sind angreifbar 

► 90% aller Seiten sind angreifbar durch Applikations-Attacken (Watchfire) 

► 78% der einfach anwendbaren Attacken betreffen Web Applikationen (Symantec) 

► 80% aller Unternehmen werden bis 2010 mit Sicherheitsvorfallen konfrontiert werden 
(Gartner) 

Web Applikationen sind fur Hacker hochst interessant 

► Zugriff auf personliche Daten, Kundendaten, Unternehmensdaten, Kreditkarten usw. 

Compliance Anforderungen werden verletzt 

► Basel II, Datenschutzgesetze, SOX, Payment Card Industry (PCI) Standards, GLBA, 
HIPPA, FISMA. 
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Was muss “Application Security” leisten? 


Benulzer- 
authenlifizierung 


Sic here 
K on figuration 




Denial-af- 

Service 

Gleichzeitige 

Zugrilfe 


Schulz 

sensibler 

Dalem 



i Behandluogvon 
1 A u s ii a h m eheilingungen 


Delailliert* 

Eingabepriilung 

(lein) 


Schulz 

sentibler 

Daten 




Web- 

server 


Seliutzgegen 

Patameter- 

manipulalion 


Schutzgegen Allgemeine 

Silzungsiiber- Eingabepriifung 
nahme (grab) 


Anwendungs- 

server 



Datenhank 


Uberp r iif ung und 
Frolokolliemnci 


Benutzcr- 

herechtigung 
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Hacker Attacken ... 


Vortauschen einer anderen Identitat (Impersonation) 

• Aneignung von Berechtigungen (Elevation of Privilege). 

Manipulation von Daten wahrend der Ubertragung (Tampering) 
Einlesen von Informationen (Information Disclosure) 

Loschen des Nachweises einer getatigten Transaktion (Repudation) 
Verursachen einer Serveruberlastung (Denial-of-Service). 




... und die Security Lucken 

Top Ten des “Open Web Application 
Security Project” (OWASP) 

1. “Cross-Site Scripting” (XSS) 

“Injection Flaws” 

Verstecktes Execute einer Datei 
A Unsichere “Direct Object Reference” 

Verfalschung eines “Cross-Site Requests” 

6. Informationsverlust und falsches “Error Handling” 

Abgebrochenes Authentication & Session Management 

8. Unsichere Kryptografie 

9. Unsichere Kommunikation 

10 Fehler in der Abwehr eines URL Zugriffes. 




In ill 









1 . Cross-Site Scripting (XSS) 

Was ist das? 

► Die Bezeichnung „Cross-Site“ leitet sich von der Art ab, wie dieser Angriff Web-Site 
ubergreifend ausgefiihrt wird. 

Der Hacker sendet dem Opfer einen praparierten Hyperlink zu, den er zum 
Beispiel in eine Webseite einbindet Oder in einer E-Mail versendet. 

Mit Hilfe entsprechender Techniken (URL-Spoofing, Kodierung) wirkt der Link 
unauffallig und vertrauenswurdig 

Der Link enthalt Code, der dann auf dem Client (z.B. im Webbrowser) des Opfers 
ausgefuhrt wird. 


Was wird damit bewirkt? 

► Mit Hilfe der Ausfuhrung des Codes werden vertrauliche Informationen des Clients 
und damit des Opfers an den Hacker versandt und/oder manipuliert, z.B. 

Seiteninhalte, Login Daten, Personliche Daten aus den Cookies, Session-ID .... 

Der Hacker bekommt Herrschaft uber 

Jede Aktion der Opfers, Seiteninhalte, Folgeseiten, ... bis zur Herrschaft liber das 
System. 



XSS - Beispiel Bankanwendung - Prozess 


Hacker 


1) Link wird User via 
e-mail Oder http 
zugesandt 


5) Hacker nutzt die 
gestohlenen Session 
Information, urn dann einen 
User zu imitieren 


Bankangestellter 
(User) 



Bankserver 

bank.com 


3) Skript / Daten werden zuruckgesandt und im Browser ausgefuhrt 
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Was der Markt sagt... 


InformationWeek 

OEFJNINC THE BUSINESS VALUE OF TECHNOLOGY 

Powered by i techweb 

K wf 1 wOfric 

• IBM's Watchfire AppScan was a no-brainer for the Editor's Choice award. Not only 
was it the only entry to fulfill the original purpose of the review--Ajax scanning--it met 
or exceeded the best features of all the other products without any of the 
accompanying problems. We recommend it for any company concerned about Web 
2.0 security. 


http://www. informationweek.com/news/secu rity/showArticle.jhtml;jsessionid=MXWOI 
PW2FRNQOQSNDLOSKH0CJUNN2JVN?articlelD=202201216&_requestid=877479 



Was ist Rational “AppScan”? 


• Ein automatisiertes Testtool zum Aufdecken von Sicherheitslucken in 
Webanwendungen 

• Ein Paket mit Dienstprogrammen, mit dem Tester und Sicherheitsberater 
Webanwendungen entwickeln und testen und ein Debugging vornehmen 
konnen 

• Eine Suite mit fuhrenden Sicherheitslosungen fur Webanwendungen, die 
Unternehmen die erforderliche Transparenz und die entsprechenden 
Kontrollmechanismen zur Verfugung stellt 

• Ein Tool fur Hackersimulationen unter Berucksichtigung der Top 10 
Sicherheitslucken des Open Web Application Security Project (OWASP) und 
der „Top 20 Vulnerabilities 41 des System Administration, Networking, and 
Security Institute (SANS) 

• Ein Informationsdienst zu den neuesten Bedrohungen, die automatisch 
aktualisiert werden, wenn ein Rational AppScan-Produkt gestartet wird. 
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Wie arbeitet AppScan? 


• Behandelt eine Applikation als Black-Box 

• Durchlauft eine Webanwendung und bildet Site Modelle 

• Bestimmt die Attacken Szenarien basierend auf der Test Policy 

• Testet, indem es modifizierte http Requests an die Applikation sendet und 
den http Response entsprechend der Validierungsregeln uberpruft. 


Web Application 
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Beispiel eines Scans 



File Edit View Scan JggIs Help 
□ & u & o Scan t Qstop gg Manual Explore 

View m My Application [53] 

©•■*jj http://demo.testfire.net/ [53] 

0 /( 3 ) 

§§ cgi.exe (1) 

0 comment .aspx [2] 

0 default .aspx 
^ disclaimer.htm 
feedback. aspx [1] 

HI search .aspx [1] 
m serveremor.aspx 
subscribe. aspx [3] 
i^| subscribe. swf 
§ suwey_questions.aspx 
©■■G) admin (1) 

©■■Q bank (40) 

S-Q images [1] 


^ Scan Configuration |lj| Scan Log |S| Report Update 



fl 

Security] 

1 

[ssu es 


Remediation Tasks 


Application Data 


Scan lis Incomplete 


More Information 


Ananged By : Severity Highest on top 

[Qj 53 Security Issues [3SS variants) for 'My Application' 


□ 


Q Blind SQL Injection (4) 

© |||| http ://demo: testf ire. net/bank/account .aspx ;1) 

© |^| http://demo.te5tfire.net/bank/login.aspx (2) 

© ,<*) http://demo.testfire.net/bankAransaction.aspx [1] 
O Cross-Site Scripting (5) 

O Format String Remote Command Execution (1) 

O HTTP Response Splitting (1) 

O SQL Injection [6] 

0 XPath Injection (1) 


0 Cookie Poisoning SQL Injection (1) 


Advisory [ J J 1 Request/Response 




Blind SQL Injection 


I- 


Fix Recommendation 


▼ General 

There are several issues whose remediation lies in sanitizing user input. 

By verifying that user input does not contain hazardous characters, it is possible to prevent 
malicious users from causing your application to execute unintended operations, such as 
launch arbitrary SQL queries, embed Javascript code to be executed on the client side, run 
various operating system commands etc. 

It is advised to filter out all the following characters: 

[1] | [pipe sign) 

[21 |& [ampersand sign) 

[31 ; [semicolon sign) 


|2j Visited URLs 1 0B/1 OB ® Completed Tests 14194/14194 


X) 53 Security Issues 0 IS S? 4 O 22 0 9 1 
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Die Disziplinen von Rational AppScan 


TtmrWurnLT 



Standards Compliance 







AppScan bietet auch Losunaen fur die Probleme 



Develop fiK 
recommendation 


Identify security 
vulnerabilities 


Scan applications 






Was bietet “AppScan” insbesondere fur Fuhrungskrafte? 


• Zentrale Uberwachung und Steuerung der unternehmensweiten Tests 
zur Ermittlung von Sicherheitslucken bei Webanwendungen. 

• Reports und Statusansichten fur Fuhrungskrafte (Dashboards) 

• Deltaanalyseberichte zur Verdeutlichung der Anderungen zwischen 
einzelnen Scans, einschlieftlich korrigierter, anstehender und neuer 
Sicherheitsprobleme 

• Integrierte Trainings-Module fur das Verstehen der Sicherheitslucken 
und der Erlauterung von Scan-Ergebnissen. 




Beispiel eines Reports 


Rational. 


AppScan, Enterprise Edition 


Jim (Analyst] | Help [ Support | About | Log Out 


Jobs & Reports >Acme Hackme > Analysts 

Folders 0 


Recently Viewed 



0 


Analysts 

Applications 

[9 Security Issues (Investment Banking) 

45] Report ^ackSurrmary (Investment BanL_ 
[9 SaiLidi les-CUley AlL (50X) (Investment 

(9 Activity l og (Test Admin) 

^1®] Report ^ackSurmary (Test Admin) 

^ Personal Bankina 

<1 ' I 


Analysts - Graphical 


Jolfs & Repurta ArJiniiilbLraLiun 


m $ ca + mt ^ ^ 0 


Last Updated: 9/11/2007 12:5550 PM 
Details Graphical 
Report Padc | All Report Packs jj | Apply | 
Issue Severity History 


Issue Management History 



All Repoi Packs 



Issue Severity by Report Padt 


WASC Threat Classification 


All Report Packs 


4KP S000 3300 1D00C 12000 


Otafannalfcn □ low Q Medium Mh^H 




□ Aulhenlicalior 

□ Command E«ecutian 

□ Aulhorizalion 

O Infcffna'jion Disclosure 

Pi ClienE side Altacki 

S Logical Attacks 
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Welche Features bietet “AppScan”? 


• Eine Benutzeroberflache mit wahlbaren Ansichten fur die Anwendungs- 
baumstruktur, der gefundenen Sicherheitsprobleme und Korrekturansichten 
fur Entwickler 

• Einen anpassbaren Testprozess mit der Moglichkeit, Anwendungsparameter 
zu analysieren und nur relevante Tests auszuwahlen 

• Unterstutzung komplexer Authentifizierungen wie z. B. gestufte CAPTCHA- 
Authentication, One-time Passwords, USB-Keys und Smart Cards 

• Ansichten mit Echtzeitergebnissen, die es den Benutzern ermoglichen, 
Probleme schon zu bearbeiten, bevor der Scanvorgang beendet ist 

• Suchregeln nach Mustern (Pattern), die bestimmte Sicherheitstests 
vereinfachen (z. B. im Zusammenhang mit Kreditkarten- Oder 
Sozialversicherungsnummern Oder anderen Ziffernfolgen) 

• Detaillierte Berichte zu verdachtigen Inhalten, in denen z. B. sensible Daten in 
html-Kommentaren Oder http-Aktivitaten im Zusammenhang mit verrdachtigen 
Inhalten aufgezeichnet sind. 





AppScan kann Defect in Rational ClearQuest einstellen 


i AS 7. 5 Demo Scan 1,scan - Watchfi re AppScan 

□11®' 

1 File Edit View Scan Xools Help 

T* 


a 


Security Issues 


Remediation Tasks 


Application Data 


□ a W & IO Scan t ) Stop ^ Manual Explore 

View My Application (54) 

http://demo.testfine.neit/ [54] 

' [7J / (3) 

P cgi.exe [1] 
p comment .aspx [2] 

P default.aspx 
p disclaimer.htm 
P feedback. aspx (1) 

P search. aspx (1) 

P; servenemor.aspx 
P subscribe. aspx [3] 

P subscribe. swf 
p survey _questions. aspx 
admin (1) 
i-lSibank [41) 

El Q images [1] 


^ Scan Configuration |j|| Scan Log p 10 Report ^ Update 


^ Scan is Incomplete 


More I nformdti on 


Ananged By: Severity Highest on top 
Q 54 Security Issues (370 variants) for "My Application' 


E O Blind SQL Injection ;4) 

s nhfflWHaSB" 

(±1 O Fonnat String F 
© O HTTP Respons 
© O Session Not Im 
© O SQL Injection 
H O XPath Injection 
© Cookie Poisonir 
E ^ Directory Listinc 
H Predictable Loc 
© ^ Unencrypted Lc 
© ^ .Application Emo. 


Severity 


Re-test 

Manual Test 


Delete 

Set as Non-vulnerable 


Report False Positive 


Log Defect to ClearQuest 


Defect Details 


Credentials 

Username: 




Password: 


■V -^visory 1 1^| Rx Recommendation ^ Request/Response 




fi ] Cross-Site Scripting 



Defect Details 

Summary: [SQL Injection in http: //re velation/acmehackme/bank/login. aspx (Parameter passw] 

id: 


Project: 

Severity: 

Priority: 


M Severity: 

>> Type: 

» WASC Threat Classification: 

» CVE Reference(s): 

» Security Risk: 


©High 
Application-level te: 
Client-side Attacks: 


Scripting 

N/A 

It is possible to ste 
customer session a 
which may be used 
a legitimate user, al 
hacker to view or al 
and to perform tran 
user 


B) Visited URLs 112/112 g) Completed Tests 1 4255/1 4255 


; L j 54 Security Issues ©13 


1 -Resolve Immediatel 


2- Give High Attention 

3- Normal Queue 
1 4-Low Priority 


State: 

Keywords: 

Symptoms: 

Owner: 


Description 


SQL Injection 
Application-level test 

WASC Threat Classification: Command Execution: SQL Injection 

Security Risk: It is possible to view, modify or delete database entries and tables 

jAJ 

V 

Attachments 



; lJ Open ID 

Edit X Remove Add Attachment... 



a a a a a 

A 

Advisory.html 

FixRec.html Variantl-Ori... Variantl-Tes... Variant2-0ri... Variant2-Tes... Variant3-0ri... 

V 


Log Defect 


© 2008 IBM Corporation 


25 







Rational AppScan Suite 


■ 
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AppScan Enterprise 


Web Application Security Testing Across the SDLC 




% Cjyilcjfec-yri 


Application 

Development 



K\Sr 


Quality 

Assurance 


Security 

Audit 



r- 


r- 


Production 
Monitoring 
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Test Applications Test 
As Developed L 
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Agenda 


Warum “Web Application Security” 

Sicherheitslucken 

Unsere Losung “Rational AppScan 



Woher kommt AppScan? Was ist Watchfire? 


^ watcHfme' 

an IBM company 

1996: Watchfire Grundung in Boston 
Entwicklung der Applikation Security Losung (AppScan) 
• 2006: Gartner Marktfuhrer in “Application Security 2006” 

2007: SC Magazine Award als “Best Security Company” 


Mehr als 800 Referenzen 



2007: Akquisition durch IBM 

#1 in Market Share 
for Application 
Security 

- Gartner & 1 DC 





AWARDS 

2007 

WINNER 




Value Propostition 


• Automatisches Scannen und Testen und damit Zeitersparnis fur 
Entwickler, Prufer, Penetrationstester und Consultants 


• End-to-End Solution mit dem Ziel, Anzahl der Schwachstellen in Zukunft 
zu minimieren, andere Anbieter melden lediglich die Schwachstellen 


• Umfassendste Losung fur Security und Compliance Reporting 
(40 verschiedene Templates) und damit auch schnellere Audits. 
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Watchfire - mehr als 800 Referenzen 


9 der Top 10 

8 der Top 10 

groBten 

Technologie 

US Banken 

Unternehmen 


Bank of Am erica Higher Standards 

cfti' 

JPMorgan Q 


WELLS 

FARGO 


SSWvchomjV 

B Washington Mutual 

[TCbank ^ 

fi»v Srjr litowuraj f'EV'l 


SumTrust 
ivi/v 




Microsoft 


Intel. 


IMOKIA 

Cisco Systems 


SONY 

MU 

Canon 


7 der Top 10 
Pharma 
Unternehmen 


Wyeth 

( ] ) NOVARTIS 


a 

Abbott Laboratories 


fAventis 

< foche ) 

Genentech 

IN BUSIN ESI FDR LIFE 


Grosse Offentliche 
Kunden 



Veteran’s Affairs 



Army 




Air Force Marines 

S£ % 

Mi/ 


(jW/fedswes 
rasxit 5 ew/ce 




















Hilfreiche Links und Informationen 


Hacking 101 

https://admin.acrobat.com/ a305137129/p74478601/ 

Integrating Security into QA’s Current Testing Processes 

https://admin.acrobat.com/ a305137129/p68873403 

Moving Application Security Testing into QA 

https://admin.acrobat.com/ a305137129/p68873403/ 

AppScan Demo 

http://www.watchfire.com/products/appscan/axfdemo.aspx 

Watchfire Discovers Google Desktop Vulnerability that Hackers Could Exploit to Gain 
Full System Control 

http://download.watchfire.com/qooqledesktopdemo/index.htm 


... und ein Datenblatt und ein White Paper auf deutsch. 
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IBM Software Group 


Vielen Dank fur Ihre Aufmerksamkeit!!! 

Kontakt: 

Alexander Nenz 
Nenz@de. IBM. com 



